Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
-
▼
noviembre
(Total:
41
)
- La colaboración internacional permite desmantelar ...
- Las estafas más comunes en Facebook Marketplace
- Ucrania hackea la Agencia de Transporte Aéreo de R...
- ChatGPT personalizados pueden exponer datos
- Q-Star (Q*): la nueva IA de OpenAI que amenaza a l...
- Científicos chinos crean una «capa de invisibilida...
- China hackeó durante 2 años al mayor fabricante de...
- ¿Final del Proyecto ModSecurity WAF?
- Los creadores de Stable Diffusion presentan una he...
- OpenAI acuerda el regreso de Sam Altman como CEO y...
- Análisis técnico del ransomware Rhysida
- ¿YouTube boicotea Firefox y a otros navegadores al...
- La Guardia Civil e Incibe advierten sobre una fuga...
- Windows Hello, hackeado usando vulnerabilidades en...
- Apple no se toma en serio a Flipper Zero y el "tam...
- Podrás desinstalar aplicaciones como Bing, Edge, C...
- China dice que tiene la red de Internet más rápida...
- Google pagó a Samsung 8.000 millones de dólares pa...
- Las copias de seguridad de WhatsApp en Android vol...
- Las versiones de pago de Instagram y Facebook extr...
- La historia de Amazon: de pequeña librería online ...
- Convertir un pendrive en una llave de seguridad co...
- Los teléfonos Android necesitarán más RAM para sop...
- mic-jammers: dispositivos para interferir y evitar...
- Microsoft obliga a completar una encuesta antes de...
- ¿Quién tiene la culpa en un accidente con un coche...
- Un robot mata a un trabajador al confundirlo con u...
- "Desnuda a cualquiera con nuestro servicio gratuit...
- En España la CNMV investiga a Twitter por permitir...
- Scraping de 35 millones de registros con datos per...
- Aitana es una reconocida influencer de gaming, per...
- YouTube es acusada de violar la ley al detectar si...
- El fabricante de componentes para bicicletas Shima...
- El uso indebido de eventos en Google Calendar apro...
- El peligro en las apps de citas: revelan un caso r...
- Amazon ganó mil millones de dólares extra con un a...
- Elon Musk va a convertir Twitter en una app de citas
- Boeing confirma un ciberataque por la banda de ran...
- Metasploit Framework: explotar vulnerabilidades pu...
- EE.UU., la Unión Europea y China firman un acuerdo...
- La UE prohíbe a Meta la publicidad selectiva en Fa...
- ► septiembre (Total: 65 )
-
▼
noviembre
(Total:
41
)
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Windows Hello, hackeado usando vulnerabilidades en los sensores de huellas
Windows Hello es un sistema de seguridad informático que Microsoft estrenó con Windows 10 y que ha sido mejorado en Windows 11. Permite funciones de inicio de sesión en los sistemas operativos mediante autenticación con sistemas biométricos, cámaras de infrarrojos con reconocimiento facial o sensores de huella digital. Las credenciales se almacenan localmente y están protegidas mediante cifrado asimétrico.
Windows Hello es una forma más personal de iniciar sesión con tu rostro, huella digital o un PIN. Puedes usar Windows Hello para iniciar sesión en tu dispositivo en la pantalla de bloqueo e iniciar sesión en tu cuenta en Internet.
La herramienta se puede usar para inicios de sesión en los sistemas operativos y también para funciones extendidas como el bloqueo de PCs (Dynamic Lock) que impiden que terceros usen los PCs, pero también tiene otros casos de uso (internos o externos) ya que se puede conectar con distintas aplicaciones, como por ejemplo el soporte que implementó Google para compras on-line en su navegador Chrome.
Windows Hello, hackeado con permiso de Microsoft
El equipo de Ingeniería de Seguridad e Investigación Ofensiva de Microsoft (MORSE) pidió a la firma de seguridad Blackwing Intelligence que evaluara la seguridad de los sensores de huellas dactilares a la hora de conectar con Windows Hello. El equipo puso a prueba los sensores de huella digital más usados del mercado de ordenadores portátiles, versiones de Goodix, Synaptics y ELAN. Y, prueba superada.
Los especialistas piratearon tres portátiles populares, un Dell Inspiron 15, un Lenovo ThinkPad T14 y un Microsoft Surface Pro X, logrando eludir la seguridad de Windows Hello en todos ellos. Hay que decir que el problema de seguridad no reside en la propia herramienta, sino en la implementación que realizan los fabricantes de portátiles.
La investigación ha sido detallada en su blog, pero básicamente consiste en «convencer» al sensor de huellas dactilares de que una huella digital diferente a la habilitada por el usuario de Windows Hello era legítimo. Para ello, los investigadores desconectaron los sensores de Windows y usaron una computadora de placa única Raspberry Pi 4 con Linux para ejecutar un ataque de ‘Man-in-the-Middle’, bien conocido y usado para interceptar la comunicación entre dos dispositivos en red.
Decir que no es la primera vez que la seguridad de Windows Hello se ve superada y Microsoft corrigió en 2021 una vulnerabilidad de omisión de autenticación, después que una prueba de concepto logró falsificar la imagen infrarroja de una víctima para falsificarla y acceder al equipo.
Sin embargo, no está claro si ahora podrá solucionar las vulnerabilidades descubiertas por esta investigación. «Microsoft hizo un buen trabajo al diseñar el Protocolo de conexión segura de dispositivos (SDCP) para proporcionar un canal seguro entre el host y los dispositivos biométricos, pero desafortunadamente los fabricantes de dispositivos parecen malinterpretar algunos de los objetivos», han descrito los investigadores. Además, «SDCP solo cubre un alcance muy limitado de las operaciones de un dispositivo típico, mientras que la mayoría de ellos presentan una superficie de ataque considerable expuesta que no está cubierta por SDCP en absoluto», aseguran.
Blackwing Intelligence recomienda que los OEM se aseguren de que SDCP esté habilitado y que la implementación del sensor de huellas digitales sea auditada por un experto calificado. La compañía también está explorando ataques de corrupción de memoria en el firmware de los sensores de huella dactilar y van a ampliar la investigación a la seguridad de dispositivos Linux, Android y los de Apple.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.